DDoS流量清洗设备测试方案

孝朝BWWKWBsoaaTOC\o"1-5"\h\z\o"CurrentDocument"测试组网3\o"CurrentDocument"基础功能测试4\o"CurrentDocument"2.1网络层攻击防御功能测试4\o"CurrentDocument"SYNFlood攻击防御功能测试.4\o"CurrentDocument"UDPFlood攻击防御功能测试5\o"CurrentDocument"2.2应用层防护功能测试6\o"CurrentDocument"HTTPFlood攻击防御功能测试6\o"CurrentDocument"HTTPSFlood攻击防御功能测试8\o"CurrentDocument"管理功能和报表功能测试9\o"CurrentDocument"3.1管理功能测试9方案集中配置和管理测试.9告警功能测试\o"CurrentDocument"3.2统计分析及报表功能测试12攻击事件分析功能测试12应用流量统计分析及报表呈现141测试组网ServerHTTP/HTTPSServerServerHTTP/HTTPSServer图1异常流量清洗系统产品测试网络环境拓扑_旁路动态引流清洗采用图1组网进行测试时，检测设备（检测中心）和清洗设备（清洗中心）是独立部署的，检测中心对防护网络拷贝流量进行检测，发现攻击通告ATIC业务网管，ATIC下发引流策略到清洗中心，触发清洗中心引流及清洗，清洗后流量回注。通过策略路由、BGP路由宣告等方式把需要防护的IP的流量牵引到清洗中心上进行实时防护。botnet表示安装了DDoS攻击工具的PC，用于产生DDoS攻击流量；TFTP/DNS/WEB/SIP客户端用于模拟客户端访问；TFTP/DNS/HTTP/HTTPS/SIPServer则是分别安装7TFTP、DNS、HTTP、HTTPS、SIP服务的PC，模拟相应的应用业务。2基础功能测试2.1网络层攻击防御功能测试2.1.1SYNFlood攻击防御功能测试测试项目SYNFlood攻击防御功能测试测试目的验证设备防范SYNFlood攻击的能力和完成效果测试环境测试组网：详见组网1前提条件：根据基本组网图完成测试组网、并运行正常；1）月艮务器上开启FTP服务器功能；通过客户端访问FTP服务器可以正常访问测试步骤1）关闭清洗系统的SYNFlood攻击防御功能；2）使用攻击测试仪对目标FTP服务器进行SYNFlood攻击，攻击流量统一设定为300Mbps；3）使用客户端访问FTP服务器，出现结果1；4）打开清洗设备的SYNFlood攻击防御功能；5）查看路由器，出现结果2；

6）使用客户端重新访问FTP服务器，出现结果3；7）查看管理中心，可以看到结果4。预期结果结果1：此时应无法访问或者访问延迟很大或者服务器网卡流量很大。结果2:此时清洗设备通过引流成功结果3:此时应该可以正常访问FTP月艮务；结果4:在管理中心可以查看到清洗设备上报的攻击流量，攻击类型以及经过清洗之后的正常流量大小。测试结果口通过口部分通过口未通过口未测试备注客户签字厂家人员签字2.1.2UDPFlood攻击防御功能测试测试项目UDPFlood攻击防御功能测试测试目的验证设备防范UDPFlood攻击的能力和完成效果测试环境测试组网：详见组网1前提条件：1）根据基本组网图完成测试组网、并运行正常；2）在被攻击服务器上搭建TFTP服务器，客户端TFTP下载正常。测试步骤1）关闭清洗设备的UDPFlood攻击防御功能；

2）使用攻击测试仪对目标TFTP服务器进行UDPFlood攻击，目的端口固定为UDP69；3）通过客户端进行TFTP下载，出现结果1；4）打开清洗设备的UDPFlood攻击防御功能；5）查看路由器，出现结果2；6）通过客户端重新进行TFTP下载，出现结果3；7）查看管理中心，可以看到结果4。预期结果结果1：此时下载速率很慢或者无法下载。结果2:此时清洗设备通过引流成功；结果3:此时能正常下载，业务恢复正常。结果4:在管理中心可以查看到清洗设备上报的攻击流量，攻击类型以及经过清洗之后的正常流量大小。测试结果口通过口部分通过口未通过口未测试备注客户签字厂家人员签字2.2成用层防护功能测试2.2.1HTTPFlood攻击防御功能测试测试项目HTTPFlood攻击防御功能测试测试目的验证设备防范HTTPCFlood攻击的能力和完成效果

测试环境测试组网：详见组网1前提条件：1）根据基本组网图完成测试组网、并运行正常；2）月服务器上开启WEB月服务器功能；通过客户端IE访问WEB服务器的网页，可以正常访问。测试步骤1）关闭清洗设备的HTTPFlood攻击防御功能；2）使用僵尸网络或攻击测试仪对目标可£日服务器进行HTTPFlood攻击；3）使用客户端访问WEB服务器的网页，出现结果1；4）打开清洗设备的HTTPFlood攻击防御功能；5）查看路由器，出现结果26）使用客户端重新访问WEB服务器的网页，出现结果3；7）查看管理中心，可以看到结果4。预雌果结果1：此时应无法访问或者访问延迟很大或者服务器网卡流量很大。结果2:此时清洗设备通过引流成功；结果3:此时应该可以正常访问页面；结果4:在管理中心可以查看到清洗设备上报的攻击流量，攻击类型以及经过清洗之后的正常流量大小。测试结果口通过口部分通过口未通过口未测试备注

客户签字厂家人员签字2.2.2HTTPSFlood攻击防御功能测试测试项目HTTPSFlood攻击防御功能测试测试目的验证设备防范HTTPSFlood攻击的能力和完成效果测试环境测试组网：详见组网1前提条件：1）根据基本组网图完成测试组网、并运行正常；2）月服务器上开启WEB月服务器功能；通过客户端IE访问WEB服务器的网页，可以正常访问。测试步骤1）关闭清洗设备的HTTPSFlood攻击防御功能；2）使用僵尸网络或攻击测试仪对目标可£日服务器进行HTTPSFlood攻击；3）使用客户端访问WEB服务器的网页，出现结果1；4）打开清洗设备的HTTPSFlood攻击防御功能；5）查看路由器，出现结果2；6）使用客户端重新访问WEB服务器的网页，出现结果3；7）查看管理中心，可以看到结果4。预期结果结果1:此时应无法访问或者访问延迟很大或者服务器网卡流量很大。结果2:此时清洗设备通过引流成功；

结果3:此时应该可以正常访问页面；结果4:在管理中心可以查看到清洗设备上报的攻击流量，攻击类型以及经过清洗之后的正常流量大小。测试结果口通过口部分通过口未通过口未测试备注客户签字厂家人员签字3管理功能和报表功能测试3.1管理功能测试3.1.1方案集中配置和管理测试测试项目方案集中配置、管理功能测试测试目的系统否提供可对整个方案实现集中监控、配置、管理的WEB网管测试环境测试组网：详见组网1前提条件：1）按组网要求搭建测试网络，并调试通，抽取任何一个防御功能测试用例，按测试步骤要求完成测试，登录业务网管系统。测试步骤1）查看系统是否支持通过SSL加密的WEB管理系统，得到结果1。2）查看系统是否支持集中监控和管理整个防御方案：1）包括方案中检测设备和清洗设备的连接状态、CPU、内存及接口流量；2）同一个

防护对象防御策略可以下发到同方案中的检测设备和清洗设备。得到结果2。3）查看管理系统是否支持通过IP、IP地址段形式定义防护对象，并能基于防护对象配置相应的防御策略。得到结果3。4）查看管理系统是否支持对防护对象的流量统计分析，分析结果是否能以图表形式展现。得到结果4。5）查看管理系统是否支持攻击事件分析，分析结果是否能以图表形式展现。得到结果5。6）查看管理系统是否支持基于系统维度和防护对象维度定期自动生成综合报表功能，并支持通过邮件自动发送给客户。得到结果6。预期结果结果1：系统支持B/S架构的图形化管理界面，且强制使用HTTPS登录。结果2:业务网管系统可集中监控和管理整个防御方案结果3:支持通过IP、IP地址段形式定义防护网络，并基于防护网络配置相应的防御策略。结果4:支持图形化的流量统计分析。结果5：支持图形化的攻击事件分析。结果6:支持综合报表自动定期生成功能，并能通过邮件自动发送给客户。测试结果口通过口部分通过口未通过口未测试备注客户签字厂家人员签字

3.1.2告警功能测试测试项目告警功能测试测试目的验证管理中心告警功能和展示效果测试环境测试组网：详见组网1前提条件：1）根据基本组网图完成测试组网、并运行正常；2）月服务器上开启WEB月服务器和DNS服务器，通过客户端访问服务器WEB界面，可以正常访问；通过客户端DNS请求服务器，可以正常解析。测试步骤1）登录WEB管理系统配置攻击告警方式，选择记录日志、邮件告警、短信告警。2）使用攻击测试仪对WEB服务器进行SYNFlood攻击，持续1分钟；登录WEB管理系统查看管理界面提供的告警判断系统是否对TCPSYNFlood攻击进行了告警，得到结果1。3）使用攻击测试仪对WEB服务器进行HTTPFlood攻击，持续1分钟；登录WEB管理系统查看管理界面提供的告警判断系统是否对HTTPFlood攻击进行了告警，得到结果2。

4）使用攻击测试仪对DNS服务器进行DNSFlood攻击，持续1分钟；登录WEB管理系统查看管理界面提供的告警判断系统是否对DNSQueryFlood攻击进行了告警，得到结果3。预期结果结果1：系统支持对SYNFlood攻击的实时告警，告警方式包括攻击日志、邮件、短信。结果2:系统支持对HTTPFlood攻击的实时告警，告警方式包括攻击日志、邮件、短信。结果3:系统支持对DNSQueryFlood攻击的实时告警，告警方式包括攻击日志、邮件、短信。测试结果口通过口部分通过口未通过口未测试备注客户签字厂家人员签字3.2统计分析及报表功能测试3.2.1攻击事件分析功能测试测试项目攻击事件分析功能测试测试目的验证管理中心攻击事件分析功能测试环境测试组网：详见组网1前提条件：

1）执行SYNFlood攻击防御功能测试用例，按测试步骤要求完成测试，攻击时间持续5分钟；2）执行UDPFlood攻击防御功能测试用例，按测试步骤要求完成测试，攻击时间持续10分钟；3）登录ATIC集中管理系统。测试步骤1）查看系统是否支持精细化的攻击事件分析，得到结果1。2）查看统计结果是否支持导出，得到结果2。预期结果结果1：系统可以按照指定的防护对象进行攻击事件查询和报表呈现，分析角度包括：1）攻击详情：展现维度包括受攻击防护对象、受攻击IP地址、攻击开始时间、攻击结束时间、攻击持续时间、攻击类型、当前状态（结束、持续^攻击报文数、清洗前后流量对比；2）按攻击持续时间和攻击次数排序的TOPN攻击IP统计分析3）按攻击报文和持续时间排序的TOPN攻击事件统计分析4）按攻击次数和攻击持续时间排序的攻击类型分布5）攻击报文丢弃原因趋势分析结果2:查询结果支持多种报表格式与导出，包括excel、pdf、csv。测试结果口通过口部分通过口未通过口未测试备注客户签字厂家人员签字

3.2.2应用流量统计分析及报表呈现测试项目应用流量统计分析及报表呈现测试目的验证管理中心应用流量统计分析和展示效果测试环境测试组网：详见组网1前提条件：1）执行DNSQueryFlood攻击防御功能测试用例，按测试步骤要求完成测试，攻击流量保持5分钟；2）执行HTTPFlood攻击防御功能测试用例，按测试步骤要求完成测试，攻击流量保持10分钟；3）执行HTTPSFlood攻击防御功能测试用例，按测试步骤要求完成测试，攻击流量保持15分钟；4）执行SIPFlood攻击防御功能测试用例，按测试步骤要求完成测试，攻击流量保持20分钟；5）登录ATIC业务网管系统。测试步骤1）查看系统是否支持DNS业务、WEB业务、SIP业务的应用流量分析和报表呈现，得到结果1。2）查看统计结果是否支持导出，得到结果2。预期结果结果1